1. 개요
- 팔란트가 앞선 2차례 보안 S/W (TouchEnxKey_라온시큐어, IPinside_인터리젠) 취약점을 공유
- 3차 공개된 게시글은 보안 S/W에서의 인증서 사용 방식에대한 문제를 제시
1.1 인증서
- Transport Layer Security (TLS)라는 프로토콜을 사용해 브라우저와 웹 서버간 보안통신(암호화)를 적용
- TLS는 소수의 신뢰할 만한 (trusted) 인증 기관(CA; Certification Authority)에서 발행하는 웹사이트의 인증서(certificate)를 통해 해당 웹사이트가 맞다는 신분을 증명
2. 취약점
- 보안 S/W가 암호화 통신을 위해 사설인증서를 PC 영역에 설치하여 사용
※ 보안 S/W : 아래 표 참조
※ PC 영역 : 신뢰할 수 있는 최상위 인증기관의 인증서를 보관하는 영역
※ 설치 : 브라우저와 보안 S/W 간 암호화 통신을 위해 사설인증서를 브라우저가 신뢰할 수 있도록 해당 기관을 최상위 인증기관으로 등록
- 현재까지 한국의 어플리케이션에 의해 다음 인증 기관이 설치됨
| 이름 | 설치하는 애플리케이션 | 유효기간 | 시리얼 넘버 |
| ASTxRoot2 | AhnLab Safe Transaction | 2015-06-18 to 2038-06-12 | 009c786262fd7479bd |
| iniLINE CrossEX RootCA2 | TouchEn nxKey | 2018-10-10 to 2099-12-31 | 01 |
| INTEREZEN CA | Interezen IPInside Agent | 2021-06-09 to 2041-06-04 | 00d5412a38cb0e4a01 |
| LumenSoft CA | KeySharp CertRelay | 2012-08-08 to 2052-07-29 | 00e9fdfd6ee2ef74fc |
| WIZVERA-CA-SHA1 | Wizvera Veraport | 2019-10-23 to 2040-05-05 | 74b7009ee43bc78fce69 73ade1da8b18c5e8725a |
| WIZVERA-CA-SHA2 | Wizvera Veraport, Wizvera Delfino |
2019-10-23 to 2040-05-05 | 20bbeb748527aeaa25fb 381926de8dc207102b71 |
- 이로인해 다음과 같은 문제가 발생
① TLS가 제공하는 보호를 약화 시킴
② 인증 기관을 악용할 경우 많은 한국의 사용자를 대상으로 웹사이트를 사칭할 수 있음
2.1 사설인증서의 미삭제 문제
- 해당 보안 S/W가 삭제되어도 사설인증서는 삭제되지 않음
※ 인증서 수동 삭제 필요
2.2 사설인증서의 악용 문제
- 사용 용도에 대해 제한을 두지 않아 비밀키 유출 시 다른 용도로 악용 가능
※ 타 웹 서버 인증, 코드서명, 이메일 서명 등
2.3 사설인증서의 비밀키에 대한 관리 문제
- 사설인증서와 관련된 비밀키의 안전한 보관 여부, 접근 권한에 대해 알지 못하며, 제3자에 의한 감사를 받지 않음
※ 사용자들은 비밀키를 안전하게 보관할 것이라 믿을 수 밖에 없으나, 앞서 공개된 게시글에 따르면 낮은 보안성을 가짐
3. 해결방안
- 보안 S/W의 사설인증서 사용이 안전한 통신을 위한 것임을 설명하며, 보다 안전한 방법을 제시
- 방안 : 동일한 인증기관을 모든 컴퓨터에 설치하는 대신, 각각의 컴퓨터마다 다른 인증서를 등록
※ 자체 인증 기관을 설치하지만 한 컴퓨터에서만 유효하고 거기에서만 실행되기 때문에 상대적으로 안전
- 방안의 절차는 다음과 같음
① 새 인증 기관 및 대응되는 비밀키를 (무작위로) 생성
② 컴퓨터의 신뢰할 만한 인증 기관 목록에 추가
③ 127.0.0.1을 위한 인증서를 만들고 위 인증 기관의 비밀 키로 서명
④ 인증 기관의 비밀키를 파기
※ 이니텍 CrossWeb Ex V3의 경우 위와 같은 방법으로 동작하는 것으로 추정_유효기간 시작일이 설치 날짜와 동일한지 보면 쉽게 알 수 있음
4. 참고
- https://palant.info/2023/02/06/weakening-tls-protection-south-korean-style/
- https://github.com/alanleedev/KoreaSecurityApps/blob/main/03_weakening_tls_protection.md
'취약점 > 국내 금융 앱 취약점' 카테고리의 다른 글
| 은행 보안 프로그램 취약점 : Veraport(보안 프로그램 통합 설치 솔루션) (0) | 2023.03.07 |
|---|---|
| 은행 보안 프로그램 취약점 : 중간 결론 (0) | 2023.02.20 |
| 은행 보안 프로그램 취약점 : IPinside(단말기 정보 수집 및 실시간 개인정보 유출탐지 및 차단 솔루션) (1) | 2023.01.27 |
| 은행 보안 프로그램 취약점 : TouchEnxKey(키로깅 방지 키로거 솔루션) (1) | 2023.01.10 |
| 독일 개발자 “한국 은행 사이트, 매우 불편하고 위험해” (0) | 2023.01.10 |